管理漏洞例外

目录

容器镜像中发现的漏洞有时需要更多上下文。仅仅因为镜像包含易受攻击的软件包,并不意味着该漏洞是可以利用的。Docker Scout 中的**例外**允许您确认已接受的风险或解决镜像分析中的误报。

通过否定不适用的漏洞,您可以更轻松地让自己和您的镜像的下游使用者了解镜像上下文中漏洞的安全隐患。

在 Docker Scout 中,例外会自动计入结果。如果镜像包含将 CVE 标记为不适用的例外,则该 CVE 将从分析结果中排除。

创建例外

要为镜像创建例外,您可以

  • 在 Docker Scout 仪表盘或 Docker Desktop 的GUI中创建例外。
  • 创建VEX文档并将其附加到镜像。

推荐的创建例外的最佳方法是使用 Docker Scout 仪表盘或 Docker Desktop。GUI 提供了用户友好的界面来创建例外。它还允许您一次为多个镜像或整个组织创建例外。

查看例外

要查看镜像的例外,您需要拥有相应的权限。

  • 使用GUI创建的例外对您的 Docker 组织成员可见。未经身份验证的用户或不是您组织成员的用户看不到这些例外。
  • 使用VEX 文档创建的例外对任何可以拉取镜像的用户可见,因为 VEX 文档存储在镜像清单或镜像的文件系统中。

在 Docker Scout 仪表盘或 Docker Desktop 中查看例外

Docker Scout 仪表盘漏洞页面中的例外选项卡列出了您组织中所有镜像的所有例外。在这里,您可以查看有关每个例外的更多详细信息,例如被抑制的 CVE、例外适用的镜像、例外的类型以及它的创建方式等等。

对于使用GUI创建的例外,选择操作菜单可以编辑或删除该例外。

要查看特定镜像标签的所有例外

  1. 前往镜像页面
  2. 选择您想要检查的标签。
  3. 打开异常选项卡。
  1. 在Docker Desktop中打开镜像视图。
  2. 打开中心选项卡。
  3. 选择您想要检查的标签。
  4. 打开异常选项卡。

在 CLI 中查看例外

实验性功能

在CLI中查看异常是一个实验性功能。它需要最新版本的Docker Scout CLI插件。某些异常可能无法在CLI中正确显示。

运行docker scout cves <image>时,CLI会突出显示漏洞异常。如果CVE被异常抑制,则CVE ID旁边会显示SUPPRESSED标签。还会显示有关异常的详细信息。

SUPPRESSED label in the CLI output

重要

为了在CLI中查看异常,您必须将CLI配置为使用与创建异常时使用的相同Docker组织。

要为CLI配置组织,请运行:

$ docker scout configure organization <organization>

<organization>替换为您Docker组织的名称。

您也可以使用--org标志在每个命令的基础上设置组织。

$ docker scout cves --org <organization> <image>

要从输出中排除被抑制的CVE,请使用--ignore-suppressed标志。

$ docker scout cves --ignore-suppressed <image>